Conclusiones clave
- Los códigos QR son tan peligrosos como los enlaces maliciosos en los correos electrónicos.
- Estos códigos contienen enlaces que pueden abrir aplicaciones, iniciar llamadas telefónicas, compartir su ubicación y más.
- Protéjase evitando los códigos QR y utilizando un enlace en su lugar.
En lugar de recoger un menú sucio de restaurante con nuestras propias manos, nos hemos acostumbrado a la higiene de los códigos QR. Pero esos pueden ser un poco más sucios y mucho más peligrosos de lo que piensas.
En 2015, un amante alemán del ketchup escaneó el código QR de su botella de Heinz y fue enviado directamente a un sitio pornográfico. Eso podría ser vergonzoso, pero hay peores consecuencias por escanear códigos QR a ciegas. Según el servicio de administrador de contraseñas 1Password, los códigos QR pueden activar llamadas telefónicas, traicionar su ubicación, iniciar una llamada telefónica que revele su identificador de llamadas y más. Entonces, ¿qué podemos hacer al respecto?
"Todos estamos condicionados a escanear un código QR para navegar por un menú o incluso pagar nuestras facturas, y los ciberdelincuentes ahora se están aprovechando de esto mediante el uso de códigos QR maliciosos", Craig Lurey, experto en seguridad cibernética y compañía -fundador de Keeper Security, le dijo a Lifewire por correo electrónico. "Entonces, lo que puede parecer un código para pagar un parquímetro, y el sitio parecerá increíblemente legítimo, en realidad está ingresando los datos de su tarjeta de crédito directamente en la base de datos de un ladrón".
Enlaces incorrectos
Un código QR es solo un acceso directo a un enlace que la cámara de su teléfono puede leer y luego decodificar. Todos hemos sido entrenados para nunca hacer clic en un enlace en un correo electrónico, incluso si parece legítimo. Pero los enlaces de código QR son igual de peligrosos y tienen el problema adicional de que no puedes ver a dónde conducen hasta que los escaneas.
Cuando pensamos en enlaces, pensamos en URL que nos llevan a sitios web. Y en el caso del hackeo de la pornografía con ketchup de Heinz, ese fue el problema: Heinz dejó que el nombre de dominio caducara, y alguien más lo compró y luego lo cargó con imágenes obscenas. Las URL son peligrosas, como ilustra la estafa de phishing del parquímetro de Lurey, pero los enlaces pueden hacer mucho más.
"Uno de los mayores problemas es que, a diferencia de los sitios web, los enlaces QR a URL acortadas rara vez identifican el nombre de la empresa", dijo Monti Knode, excomandante del 67º Grupo de Operaciones del Ciberespacio de la USAF, a Lifewire por correo electrónico. "Una persona hace clic en él y supone que proporcionará un menú de restaurante, una agenda de conferencias o incluso un enlace de caridad, y muy bien podría ser un sitio falsificado o un enlace malicioso que descarga código a su computadora o dispositivo móvil."
En nuestros teléfonos, los enlaces pueden activar aplicaciones. Se abre un enlace de Google Maps en la aplicación de mapas, por ejemplo. Los enlaces también pueden desencadenar llamadas telefónicas, agregar contactos a su libreta de direcciones (y por lo tanto hacer que futuras llamadas y correos electrónicos parezcan legítimos), pueden compartir su ubicación y más.
Una estafa ingeniosa involucra a un ne'er-do-well que modifica un código QR legítimo existente y lo usa para redirigir a las víctimas. El anunciante Robert Barrows compartió una historia sobre su Video Enhanced Gravemarker.
"Me di cuenta de que podría haber varios problemas con los códigos QR en las lápidas", dijo Barrows a Lifewire por correo electrónico. "¿Qué sucede si la tinta del código QR se deteriora con el tiempo? ¿Terminará con un enlace a un sitio web totalmente diferente? ¿Qué sucede si alguien cambia el código QR con un marcador?"
Lo mismo podría pasar con carteles publicitarios, menús o cualquier código QR.
Protegerse
El primer paso para protegerse es ser consciente. Nunca escanee un código QR a menos que esté seguro de que es seguro. Lo que realmente significa, nunca escanees un código QR nunca.
Pero si tiene que escanear para registrarse en un restaurante o bar o ver un menú, primero asegúrese de que el código no haya sido manipulado o cubierto con una etiqueta de otro código QR. Un consejo es desactivar el escaneo automático de códigos QR en la configuración de su teléfono, si es posible. Pero realmente, la mejor protección es tener cuidado.
"Cuando sea posible, al igual que con los posibles enlaces de phishing, las recomendaciones son ir directamente al sitio web del proveedor para recuperar la información que está buscando", Dave Cundiff, CISO de la empresa de seguridad cibernética Cyvatar, le dijo a Lifewire por correo electrónico. "En la mayoría de los casos, la información está alojada en la web y se puede acceder a ella directamente en algún lugar del sitio web del proveedor".
Si el enlace no está disponible, no lo escanee. Es mucho menos conveniente pero no tan inconveniente como hablar días o semanas lidiando con las consecuencias de un enlace malicioso.
